Új hitelesítési módszerek érkeznek a Windows 11-be

2 új hitelesítési módszer érkezik a Windows 11-be.

A redmondi technológiai óriáscég szerint a Microsoft új hitelesítési módszerekkel érkezik a Windows 11-hez legújabb blogbejegyzés. Az új hitelesítési módszerek sokkal kevésbé lesznek függőek az NT LAN Manager (NTLM) technológiákon és a Kerberos technológiák megbízhatóságát és rugalmasságát fogja használni.

A két új hitelesítési módszer a következő:

• Kezdeti és átmenő hitelesítés Kerberos használatával (IAKerb)
• helyi kulcselosztó központ (KDC)

Ráadásul a redmondi székhelyű technológiai óriás fejleszti az NTLM auditálási és felügyeleti funkcióit, de nem azzal a céllal, hogy továbbra is használja. A cél az, hogy olyan mértékben javítsák azt, hogy a szervezetek jobban irányíthassák, és így eltávolítsák azt.

Továbbfejlesztett NTLM-auditálási és felügyeleti funkciókat is bevezetünk, hogy szervezete jobban betekintést nyerjen az NTLM-használatba, és jobban ellenőrizhesse az eltávolítását. Végső célunk az NTLM használatának megszüntetése, hogy javítsuk a hitelesítés biztonsági sávját minden Windows-felhasználó számára.

Microsoft

Windows 11 új hitelesítési módszerek: Minden részlet

A Microsoft szerint az IAKerb-t arra fogják használni, hogy az ügyfelek Kerberos segítségével hitelesítsék a változatosabb hálózati topológiákat. Másrészt a KDC Kerberos támogatást ad a helyi fiókokhoz.

A redmondi technológiai óriás részletesen elmagyarázza, hogyan működik a 2 új hitelesítési módszer Windows 11 rendszeren, ahogy az alábbiakban olvasható.

Az IAKerb az ipari szabvány Kerberos protokoll nyilvános kiterjesztése, amely lehetővé teszi a tartományvezérlő közvetlen rálátása nélküli kliens számára, hogy egy rálátással rendelkező kiszolgálón keresztül hitelesítsen. Ez a Negotiate hitelesítési bővítményen keresztül működik, és lehetővé teszi a Windows hitelesítési verem számára, hogy a Kerberos-üzeneteket a kiszolgálón keresztül proxyzza az ügyfél nevében. Az IAKerb a Kerberos kriptográfiai biztonsági garanciáira támaszkodik, hogy megvédje a kiszolgálón áthaladó üzeneteket, hogy megakadályozza a visszajátszást vagy a továbbítást. Ez a fajta proxy hasznos tűzfallal szegmentált környezetekben vagy távoli hozzáférési forgatókönyvekben.

Microsoft

A Kerberoshoz készült helyi KDC a helyi gép Biztonsági fiókkezelőjére épül, így a helyi felhasználói fiókok távoli hitelesítése Kerberos használatával is elvégezhető. Ez kihasználja az IAKerbot, hogy lehetővé tegye a Windows Kerberos üzenetek távoli helyi gépek közötti átadását anélkül, hogy hozzá kellene adnia más vállalati szolgáltatásokhoz, például a DNS-hez, a netlogonhoz vagy a DCLocatorhoz. Az IAKerb nem követeli meg, hogy új portokat nyissunk meg a távoli gépen a Kerberos üzenetek fogadásához.

Microsoft

A redmondi technológiai óriás az NTLM-protokollok használatának korlátozására törekszik, és a cégnek van erre megoldása.

A Kerberos forgatókönyvek lefedettségének bővítése mellett a meglévő Windows-összetevőkbe beépített NTLM keménykódolt példányait is javítjuk. Ezeket az összetevőket a Negotiate protokoll használatára helyezzük át, hogy az NTLM helyett Kerberos is használható legyen. A Negotiate szolgáltatásra való átállással ezek a szolgáltatások kihasználhatják az IAKerb és a LocalKDC előnyeit mind a helyi, mind a tartományi fiókok számára.

Microsoft

Egy másik fontos szempont, amelyet figyelembe kell venni, az a tény, hogy a Microsoft kizárólag az NTLM-protokollok kezelését javítja, azzal a céllal, hogy végül eltávolítsa a Windows 11-ből.

Az NTLM használatának visszaszorítása végső soron a Windows 11 letiltásával zárul. Adatközpontú megközelítést alkalmazunk, és figyelemmel kísérjük az NTLM-használat csökkenését, hogy meghatározzuk, mikor lesz biztonságos a letiltása.

Microsoft

A redmondi technológiai óriás felkészült egy rövid útmutatót cégeknek és ügyfeleknek az NTLM hitelesítési protokollok használatának csökkentéséről.